用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

im, 无色
im, 无色
im, 无色
884
文章
0
评论
2019年8月13日18:41:07 评论 765

来源:IT之家作者:启人/实习

大家好,我是启人。

可能很多挨踢友之前都有过浏览器被人私自篡改的经历。

比如强制更改首页,替换默认搜索引擎。

不过这种情况在各种驱动级(也就是内核级)电脑管家的强力封杀下,现在基本不存在了。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

但是,千万不要以为有了电脑管家就可以高枕无忧。

道高一尺魔高一丈。

关于安全的攻防,其实一刻都没有停止。

阿里托管用户浏览器

8月4日晚,微博上一位名为极乐亭的网友发文表示:

他突然发现自己的Chrome浏览器被某单位托管了。

点进去一看,处于被托管状态下的Chrome,企业管理员可以操作他的浏览器,给他安装任意应用、不让他用任意功能、监控他的一举一动。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

他心里一惊,赶紧排查Policies和注册表。

最后确认,是阿里系软件安装了个插件,直接托管了他的浏览器。

(从下图来看,应该是阿里旺旺)

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

而且在很久之前,他的电脑就可能一直处于阿里的【托管】下。

只是最近Chrome更新,能够提示用户了,这才把阿里暴露出来。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

Chrome被托管能干什么

按常理来说,BAT等公司应该只管理自己的员工

被加入企业域的员工,可受到管理员各种各样的限制。

比如:

  • 让你必须用什么头像。
  • 不让你上什么网站。
  • 允许或不允许你安装什么插件。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

当然,最致命的还要属证书能被控制。

这相当于管理员直接拿着用户的家门钥匙。

用户变成了租户,管理员变成了房东。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

那么阿里做了什么

Chrome的托管能力这么强大,这事又事关阿里,事关隐私。

启人马上跑去找到了【IT之家】的技术团队,询问一下他们的专业意见。

我问了技术团队三个问题:

  1. 1、什么情况下,我的浏览器会被阿里托管?
  2. 2、阿里加进来想干嘛?
  3. 3、阿里加进来又能干嘛?

咱们一个一个说。

什么情况下会被托管

从网友发来的反馈来看,问题主要集中在阿里旺旺和支付宝安全控件上。

不过IT之家技术团队中,有两位同时装有这两个软件的工程师。

一位中招了,一位没中招。

为什么呢,原因后文说。

阿里加进来想干嘛

照理来说,我们不应妄自揣度阿里的想法。

不过从阿里的实际做法,大概可以看出一二。

通过Chrome Policies查询,我们发现,阿里设置的权限,名为EnabledPlugins。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

这个权限可以限制用户禁用其插件。

换句话说:阿里要这个权限,可以保证自己软件的存活。

不被竞争对手干掉,不被用户干掉。

这一幕,是不是非常像安卓上的全家桶互相唤醒大战。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

呵呵。

阿里加进来能干嘛

这可能是大家最关心的问题了。

其实答案非常简单:

阿里现在什么都干不了。

EnabledPlugins权限早已被谷歌官方弃用,现在已是废人一个。

(DEPRECATED:弃用的意思)

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

这也侧面证实,阿里在很早以前就这么干了,现在变成了历史遗留问题。

通过在浏览器上搜索“阿里托管浏览器”关键词可以发现。

其实早在今年3月,就有网友发现了这个问题。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

如何删掉

删除之前,首先确认你是否中招。

先把Chrome浏览器升级到最新,然后点击菜单右上角,也就是头像右边那3个点。

如果你弹出来的菜单最下方有“由贵单位管理”,那你就是中招了。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

接下来,直接在浏览器地址栏输入:

Chrome://policy

你会看到EnabledPlugins这条。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

接下来打开注册表编辑器(打开方法为在“运行”中输入:regedit)。

定位到这条:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome

然后把EnabledPlugins文件夹整个删掉。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

最后,重新开启浏览器,“由贵单位管理”的状态就会消失了。

最后

其实,浏览器被托管这事,不光阿里干了。

据网友反馈:

腾讯也干了。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

网易也干了。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

搜狗也干了。

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

还有各种没点到名的厂商,他们也干了。

Windows的环境,好像正在走安卓的老路...

算了,多了启人就不吐槽了。

还是来说说,为啥我们两位工程师,一位中招了,一位没中招吧。

大家还记得运行各种程序之前,Windows都会弹出确认提示嘛...

用户浏览器被互联网大厂私自【托管】?仔细一查,这事并不简单

  • 只要你不点确定,程序就得不到管理员权限。
  • 得不到管理员权限,你就不可能中招。

是的,唯一的解释就是,我们的程序员点【确定】了...

当然,现在很多程序会打着“您有安全漏洞”或“组件不完整”幌子诱导用户点确定。

我们的程序员都不能保证100% 安全,又怎么能把网络安全的大锅甩给普通用户呢?

说到底,隐私安全这事,可能真得看各厂的三观了。

这事其实挺可悲的。

im, 无色
  • 本文由 发表于 2019年8月13日18:41:07
五大主流浏览器与四大内核 浏览器新闻

五大主流浏览器与四大内核

任何上过网的用户对浏览器是再熟悉不过了。只是用户看到仅仅只是浏览器本身,却很少能看到浏览器最核心的部分—浏览器内核。从第一款libwww(Library WorldWideWeb)浏览器发展至今已经经...
Chromium版Edge浏览器Beta发布下载 浏览器下载

Chromium版Edge浏览器Beta发布下载

基于Chromium开源内核重新开发的微软Edge浏览器已经推进很长时间了,从4月的公测算起也接近小半年,不过版本迭代均停留在Canary(日更)和Dev(周更)两个早期分支。 今天(8月21日),微...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: